글로벌 명품 브랜드들의 개인정보 유출 사고에 대해 국내 규제 당국이 대규모 제재를 확정했다. 개인정보보호위원회는 루이비통, 디올, 티파니 등 3개 명품 브랜드가 개인정보보호법을 위반했다며 총 360억3300만 원의 과징금과 1080만 원의 과태료를 부과했다고 12일 밝혔다.

가장 많은 과징금이 부과된 곳은 루이비통이다. 개인정보위는 루이비통에 과징금 213억8500만 원을 부과하기로 했다. 

조사 결과 루이비통은 내부 직원의 업무용 기기가 악성코드에 감염되면서 SaaS 계정 정보가 해커에게 탈취됐고, 이로 인해 약 360만 명의 개인정보가 총 세 차례에 걸쳐 유출됐다. 사고 발생 기간은 2025년 6월 9일부터 13일까지로 확인됐다.

개인정보위에 따르면 루이비통은 2013년부터 구매 고객 관리 목적으로 해당 SaaS를 운영해 왔음에도, 접근 권한을 인터넷프로토콜(IP) 주소 등으로 제한하지 않았고, 외부 접속 시에도 안전한 인증 수단을 적용하지 않았다. 장기간에 걸쳐 기본적인 접근 통제와 인증 조치가 이뤄지지 않았던 점이 대규모 유출로 이어졌다는 판단이다.

디올에는 과징금 122억3600만 원과 과태료 360만 원이 부과됐다. 디올의 경우 고객센터 직원이 해커의 보이스피싱에 속아 SaaS 접근 권한을 해커에게 직접 부여한 것으로 조사됐다. 

이로 인해 약 195만 명의 개인정보가 유출됐다. 디올은 2020년부터 구매 고객 관리를 위해 해당 SaaS를 운영하면서도 접근 권한을 IP 주소 등으로 제한하지 않았고, 대량 데이터 다운로드 지원 도구 사용도 제한하지 않았다. 또 개인정보 다운로드 여부 등 접속 기록을 월 1회 이상 점검하지 않아 유출 사실을 3개월 이상 인지하지 못한 점도 문제로 지적됐다.

신고 지연도 확인됐다. 개인정보위는 디올이 2025년 5월 7일 개인정보 유출 사실을 인지하고도 정당한 사유 없이 72시간을 넘겨 5월 12일에야 통지했다고 밝혔다. 이는 개인정보보호법상 유출 통지 의무 위반에 해당한다는 판단이다.

티파니에는 과징금 24억1200만 원과 과태료 720만 원이 부과됐다. 티파니 역시 디올과 마찬가지로 고객센터 직원이 보이스피싱에 속아 SaaS 접근 권한을 해커에게 부여했고, 이로 인해 약 4600명의 개인정보가 유출됐다.

티파니는 2021년부터 마케팅 목적으로 해당 SaaS를 운영하면서 접근 권한을 IP 주소 등으로 제한하지 않았고, 대량 데이터 다운로드 지원 도구 사용도 제한하지 않았다. 이 과정에서 유출 사고 발생 이후에도 사유 없이 72시간을 경과해 신고를 지연한 점이 함께 문제로 지적됐다.

유출된 개인정보의 범위도 적지 않았다. 윤여진 개인정보위 조사1과장은 “루이비통의 경우 이름, 성별, 국가, 전화번호, 이메일 주소, 생년월일 등이 유출됐고, 디올은 이름, 성별, 생년월일, 나이, 이메일, 전화번호 등이 포함됐다”며 “티파니 역시 이름, 주소, 이메일, 내부 고객 기록 번호 등이 유출됐다”고 설명했다.

개인정보위는 이번 사건이 특정 산업에 국한된 문제가 아니라는 점도 강조했다. 윤 조사1과장은 “최근 많은 기업들이 초기 구축 비용 절감과 유지 관리 효율성을 이유로 글로벌 대기업의 SaaS 기반 솔루션을 도입·운영하고 있다”며 “이 경우에도 개인정보를 안전하게 관리할 책임은 개인정보처리자인 기업에 있는 만큼, 접근 권한 통제와 인증 수단 등 보호법상 기능을 적극 적용해 유출 사고를 예방해야 한다”고 당부했다.

이번 제재는 명품·패션 업계를 넘어 글로벌 기업 전반에 강한 경고 메시지를 던진 것으로 평가된다. 

고가 브랜드와 VIP 마케팅을 앞세워 프리미엄 이미지를 구축해온 기업들이 정작 고객 신뢰의 기반인 개인정보 보호에는 구조적으로 취약했다는 점이 드러난 만큼, 해외 본사 중심의 IT 운영과 SaaS 의존 구조 전반에 대한 점검과 규제 강화로 이어질 가능성이 크다는 전망이 나온다.